Denetim Soru Listesi Hazırlamak

Denetim süreçlerinde kullanılan soru listeleri, denetçinin etkin bir denetim gerçekleştirmesini destekleyen temel araçlardan birisidir. Soru listesi, denetimin ilk aşamalarında toplanan bilgiler doğrultusunda yapılandırılarak, denetim sırasında göz önünde bulundurulması gereken tüm hususların iyi bir şekilde belirlenmesini sağlar.

Soru listeleri doğrudan soru formunda olmak zorunda değildir; daha çok denetim kapsamında yanıtlanması gereken konu başlıklarını içerecek şekilde hazırlanır.

Denetçiler açısından bu listeler, sürecin her aşamasında bir hatırlatma ve yönlendirme işlevi görür. Ayrıca denetim faaliyetinin önceden yapılan zaman planlamasına uygun biçimde yürütülmesine katkı sağlar. Soru listesinin kapsamı ve ayrıntı düzeyi ise denetçinin bilgi birikimi ve mesleki deneyimine bağlı olarak değişkenlik gösterebilir.

Bazı belgelendirme veya denetim kuruluşlarının, kendi denetçilerinden belirli bir standart soru listesini esas almalarını (örneğin; ISO 27001) ve tespit ettikleri bulguları bu listeler üzerinde belgelemelerini talep ettikleri de bilinmektedir.

Yeni bir soru listesi hazırlanırken, daha önceki denetimlerde kullanılan listelerden yararlanmak da etkili bir yöntem olarak görülmektedir.

Denetçinin soru listesini hazırlarken dikkat etmesi gerekenler;

  • Denetçi, soru listesini hazırlarken denetimin amacı, denetlenecek organizasyon birimi veya süreci ile denetimin gerçekleştirileceği zaman aralığını dikkate almalıdır.
  • Denetime başlamadan önce, denetlenecek alanla ilgili tüm uygulanabilir gereklilikler belirlenmeli ve bunlar soru listesine konu başlığı olarak dahil edilmelidir.
  • Soru listeleri, kuruluşun süreç yapısıyla tutarlı şekilde düzenlenmelidir. Bu doğrultuda, doküman inceleme aşamasında tespit edilen ana süreç adımları ve akışı, denetim sırasında kontrol edilecek başlıklar olarak listeye yansıtılmalıdır. Bu süreç uyumu sayesinde, kuruluşun yürüttüğü faaliyetlerden herhangi birinin denetlenmeden geçmesi riski ortadan kaldırılmış olacaktır.
  • Soru listelerinde genellikle soru cümlelerinden çok, geniş zaman kipiyle ifade edilen ve gözlem yapılacak konu başlıkları tercih edilebilir. Bu, sürecin daha yönlendirici işlemesini sağlar.
  • Soru listesi hazırlama görevi denetim ekibi üyelerine aittir. Her bir denetçi kendi görev alanıyla ilgili soruların yer aldığı listeyi hazırlamakla sorumlu olmalıdır. Ayrıca baş denetçi, denetim ekibindeki tüm üyelerin kendi soru listelerini hazırladığını kontrol etmeli ve hazırlık sürecini koordine etmelidir.

Ancak soru listeleri, birebir ve katı bir biçimde takip edilmesi gereken kurallar bütünü olarak değerlendirilmemelidir.

Soru listesi kullanımının çeşitli avantajları olsa da dezavantajları da bulunmaktadır.

Avantajları;

  • Denetim öncesi hazırlık sürecinin mantıklı ve yapısal bir biçimde yürütülmesine katkı sağlar.
  • Denetim sürecinde izlenecek adımların belirli bir sıraya göre ilerlemesine yardımcı olur.
  • Denetim sırasında denetçiye rehberlik eder ve kontrol edilecek alanları unutmamasını sağlar.
  • Gözlemler ve bulguların sistemli biçimde kaydedilmesine olanak tanır.
  • Kontrol edilen her bir başlık için ilgili denetim kanıtlarının belirlenmesini ve belgelenmesini kolaylaştırır.
  • Denetlenen noktaların kaydını tutarak, denetim sürecinin geriye dönük olarak izlenmesini mümkün kılar.

Dezavantajları;

  • Kapsamlı ve uygun nitelikte bir soru listesinin oluşturulması önemli ölçüde zaman ve emek gerektirir.
  • Önceden belirlenmiş başlıklar, denetim sırasında gelişebilecek farklı durumlara uyum sağlamayı zorlaştırabilir ve denetçinin spontane sorgulama yeteneğini kısıtlayabilir.

Soru Listesi Türleri

Denetim sürecinde kullanılan soru listeleri, denetçinin tercihine ve denetimin amacına göre farklı biçimlerde hazırlanabilmektedir. Genellikle üç temel tip yaygın olarak kullanılmaktadır. Denetçiler, kendi denetim tarzlarına ve sürecin gereksinimlerine uygun olarak bu türlerden birini ya da birden fazlasının bileşimini tercih edebilirler. Herhangi bir belgelendirme kuruluşu tarafından aksi belirtilmedikçe, kullanılacak soru listesi tipi konusunda kısıtlayıcı bir durum söz konusu değildir.

1. Madde İşaretli Soru Listesi

Bu tür listelemeler, toplantı gündemlerine benzer bir yapıda hazırlanır. Amaç, denetim sırasında izlenecek konuların kısa ve öz başlıklar hâlinde hatırlatılmasını sağlamaktır. Her bir madde, aslında daha ayrıntılı bir denetim kriterinin ya da standardın özetlenmiş hâlidir. Bu yapı, özellikle tecrübeli denetçiler için zaman yönetimi ve odaklanma açısından avantaj sunar.

  • Her madde yalnızca birkaç kelime ile ifade edilir.
  • Başlıklar kısa, anlaşılır ve standardın temel kavramlarını yansıtır.
  • Detay içermediği için esnek bir kullanıma olanak tanır.
  • Doğrudan okuma değil, hatırlatma ve yönlendirme işlevi görür.

Örnek;

ISO/IEC 27001:2022 – 5.1 Liderlik ve Bağlılık maddesi üst yönetimin bilgi güvenliği yönetim sistemi (BGYS) konusundaki liderliğini ve taahhüdünü çeşitli alt başlıklarla tanımlar.

Standardın İlgili Alt MaddesiMadde İşaretli Soru Listesi Karşılığı
Bilgi güvenliği politikası ve hedeflerinin oluşturulması ve kuruluşun stratejik yönüyle uyumlu hâle getirilmesiPolitika / Hedefler
BGYS gerekliliklerinin kuruluşun iş süreçlerine entegre edilmesinin sağlanmasıProses entegrasyonu

Sorular;

  • Bu süreçlerin BGYS ile bağlantısını nasıl kurdunuz?
  • Bilgi güvenliği gereklilikleri iş süreçlerinize nasıl yansıyor?
  • Süreç sahipleri bu entegrasyonu nasıl yönetiyor?

2. Kriter Soru Listesi

Kriter soru listesi, denetim yapılacak alanla ilgili belirli bir standardın veya düzenleyici çerçevenin maddeleri doğrultusunda oluşturulur. Bu tür listelerde, denetim kriterleri doğrudan soru formuna dönüştürülerek bir sorgulama zemini hazırlanır. Her bir madde, standartta belirtilen şartları açık bir şekilde kapsayacak biçimde ifade edilir.

  • Sorular, doğrudan denetim kriterlerinden türetilir.
  • Amaç, standardın ilgili maddelerinin eksiksiz olarak denetlenmesini sağlamaktır.
  • Uygulamada tutarlılık ve tekrar edilebilirlik açısından avantaj sunar.
  • Ancak, soru sayısı ve içerik derinliği nedeniyle daha fazla hazırlık ve deneyim gerektirir.

Örnek;

ISO/IEC 27001:2022 – 5.1 Liderlik ve Bağlılık maddesi kapsamında oluşturulmuş bir kriter soru listesini göstermektedir.

SoruAçıklama
Üst yönetim bilgi güvenliği yönetim sistemi ile ilgili olarak aşağıdakileri yerine getirerek, liderlik ve bağlılık gösteriyor mu?
a) Bilgi güvenliği politikası ve bilgi güvenliği amaçlarının oluşturulduğundan ve kuruluşun stratejik yönü ile uyumlu olduğundan emin olunuyor mu?
b) BGYS şartlarının kuruluşun süreçlerine entegre edildiğinden emin olunuyor mu?

3. Özel Soru Listesi
Özel soru listeleri, doğrudan standart maddelerinden türetilmez; bunun yerine denetlenen kuruluşun kendi iç prosedürleri, politikaları, iş akışları ve dokümantasyon sistemine göre oluşturulur. Bu nedenle, özel soru listeleri daha çok kuruluşa özgü detayları kapsar ve yönetim sisteminin kuruluş içi uygulanış biçimini denetlemeye yöneliktir.

  • Kuruluşun kendine has yapısı, süreçleri ve iç düzenlemeleri esas alınarak hazırlanır.
  • Genellikle politika belgeleri, prosedürler, süreç haritaları ve iş talimatları incelenerek oluşturulur.
  • Uygulamadaki farklılıkları ve olası tutarsızlıkları ortaya çıkarmaya yöneliktir.
  • Denetim sırasında gerçek uygulama ile yazılı dokümantasyonun tutarlılığı test edilir.

Örnek;

Bir kuruluşun bilgi güvenliği yönetim sistemine ilişkin iç dokümantasyonuna dayanarak oluşturulmuş özel soru listesi;

SoruAçıklama
Politika yönetim kurulu başkanı tarafından onaylanmış mı?
Yönetim kurulu başkanı, sistemin önemini açıklıyor mu?

Basit bir “Bilgi Sistemleri İç Denetim Kontrol Listesi Özel Soru Listesi” örneği;

PDF;

Word;

Kaynaklar

Tekirdağ Namık Kemal Üniversitesi. (2018). İç denetim soru formu [Elektronik tablo]. https://esas.nku.edu.tr/dosyalar/dokuman/232CB581-63A4-0DF1-A9CE-EE8BB1FFDFF8.xlsx

Yıldız Teknik Üniversitesi. (2023). FR-1883 YTÜ ISO 27001 iç denetim kontrol listesi [Çevrimiçi belge]. Scribd. https://www.scribd.com/document/854358331/FR-1883-YTU-ISO-27001-%C4%B0c-Denetim-Kontrol-Listesi

International Organization for Standardization. (2013). ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements.

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir